Adicionar ou remover conexões site a site do Gateway VPN

Este artigo ajuda você a adicionar ou remover conexões site a site (S2S) para um gateway VPN. Você também pode adicionar conexões S2S a um gateway VPN que já tenha uma conexão S2S, conexão ponto a site ou conexão VNet-to-VNet. Há algumas limitações ao adicionar conexões. Verifique a seção Pré-requisitos neste artigo para verificar antes de iniciar a configuração.

Diagrama de conexão entre locais do Gateway VPN site a site com vários sites.

Sobre conexões coexistentes de Rota Expressa/site a site

  • Você pode usar as etapas neste artigo para adicionar uma nova conexão VPN a uma conexão coexistente de Rota Expressa/site a site já existente.
  • Não é possível usar as etapas neste artigo para configurar uma nova conexão coexistente de Rota Expressa/site a site. Para criar uma nova conexão coexistente, consulte: Conexões coexistentes ExpressRoute/S2S.

Pré-requisitos

Verifique os seguintes itens:

  • Você NÃO está configurando uma nova conexão site a site coexistente entre ExpressRoute e VPN Gateway.
  • Você tem uma rede virtual que foi criada usando o modelo de implantação do Resource Manager com uma conexão existente.
  • O gateway de rede virtual para sua rede virtual é RouteBased. Se você tiver um gateway VPN PolicyBased, deverá excluir o gateway de rede virtual e criar um novo gateway VPN como RouteBased.
  • Nenhum dos intervalos de endereços se sobrepõe para qualquer uma das redes virtuais às quais essa rede virtual está se conectando.
  • Você tem um dispositivo VPN compatível e alguém que é capaz de configurá-lo. Veja Acerca dos Dispositivos VPN. Se não estiver familiarizado com a configuração do dispositivo VPN ou com os intervalos de endereços IP localizados na configuração da rede no local, tem de se coordenar com alguém que consiga fornecer esses detalhes.
  • Você tem um endereço IP público voltado para o exterior para o seu dispositivo VPN.

Criar um gateway de rede local

O gateway de rede local é um objeto específico implantado no Azure que representa seu local local (o site) para fins de roteamento. Você dá ao site um nome pelo qual o Azure pode se referir a ele e, em seguida, especifica o endereço IP do dispositivo VPN local ao qual você criará uma conexão. Também pode especificar os prefixos do endereço IP que vai ser encaminhado através do gateway de VPN para o dispositivo VPN. Os prefixos do endereço que especificar são os que estão localizados na sua rede no local. Se a sua rede no local for alterada ou se precisar de alterar o endereço IP público para o dispositivo VPN, pode atualizar facilmente os valores mais tarde.

Crie um gateway de rede local usando os seguintes valores de exemplo:

  • Designação: Site1
  • Grupo de Recursos: TestRG1
  • Localização: E.U.A. Leste

Considerações de configuração:

  • O Gateway VPN suporta apenas um endereço IPv4 para cada FQDN. Se o nome de domínio for resolvido para vários endereços IP, o Gateway VPN usará o primeiro endereço IP retornado pelos servidores DNS. Para eliminar a incerteza, recomendamos que seu FQDN sempre resolva para um único endereço IPv4. O IPv6 não é suportado.
  • O Gateway VPN mantém um cache DNS que é atualizado a cada 5 minutos. O gateway tenta resolver os FQDNs apenas para túneis desconectados. A redefinição do gateway também aciona a resolução FQDN.
  • Embora o Gateway VPN ofereça suporte a várias conexões com diferentes gateways de rede local com FQDNs diferentes, todos os FQDNs devem ser resolvidos para endereços IP diferentes.
  1. No portal, vá para Gateways de rede local e abra a página Criar gateway de rede local.

  2. No separador Básico, especifique os valores para o gateway de rede local.

    Captura de tela que mostra a criação de um gateway de rede local com endereço IP.

    • Subscrição: Verifique se é apresentada a subscrição correta.
    • Grupo de recursos: selecione o grupo de recursos que você deseja usar. Você pode criar um novo grupo de recursos ou selecionar um que já tenha criado.
    • Região: Selecione a região para este objeto. Talvez você queira selecionar o mesmo local onde sua rede virtual reside, mas não é necessário fazê-lo.
    • Nome: Especifique um nome para o seu objeto de gateway de rede local.
    • Ponto de extremidade: selecione o tipo de ponto de extremidade para o dispositivo VPN local como endereço IP ou FQDN (Nome de Domínio Totalmente Qualificado).
      • Endereço IP: Se você tiver um endereço IP público estático alocado do seu provedor de serviços de Internet (ISP) para seu dispositivo VPN, selecione a opção Endereço IP. Preencha o endereço IP como mostrado no exemplo. Esse endereço é o endereço IP público do dispositivo VPN ao qual você deseja que o Gateway de VPN do Azure se conecte. Se você não tiver o endereço IP no momento, poderá usar os valores mostrados no exemplo. Mais tarde, você deve voltar e substituir seu endereço IP de espaço reservado pelo endereço IP público do seu dispositivo VPN. Caso contrário, o Azure não poderá se conectar.
      • FQDN: Se você tiver um endereço IP público dinâmico que pode mudar após um determinado período de tempo, geralmente determinado pelo seu ISP, você pode usar um nome DNS constante com um serviço DNS dinâmico para apontar para o seu endereço IP público atual do seu dispositivo VPN. Seu gateway de VPN do Azure resolve o FQDN para determinar o endereço IP público ao qual se conectar.
    • Espaço de endereço: O espaço de endereço refere-se aos intervalos de endereços para a rede que esta rede local representa. Pode adicionar vários intervalos de espaço de endereços. Certifique-se de que os intervalos que especificar aqui não se sobrepõem aos intervalos de outras redes às quais pretende ligar. O Azure roteia o intervalo de endereços especificado para o endereço IP do dispositivo VPN local. Se pretender ligar ao seu site no local utilize os seus próprios valores, não os valores mostrados no exemplo.
  3. Na guia Avançado, você pode definir as configurações de BGP, se necessário.

  4. Depois de especificar os valores, selecione Rever + criar na parte inferior da página para validar a página.

  5. Clique em Criar para criar o objeto de gateway de rede local.

Configurar o dispositivo VPN

As conexões site a site com uma rede local exigem um dispositivo VPN. Neste passo, configure o seu dispositivo VPN. Ao configurar seu dispositivo VPN, você precisa dos seguintes valores:

  • Uma chave partilhada. Essa é a mesma chave compartilhada que você especifica ao criar sua conexão VPN site a site. Nos nossos exemplos, iremos utilizar uma chave partilhada básica. Deve gerar uma chave mais complexa para utilizar.
  • O endereço IP público do gateway de rede virtual. Pode ver o endereço IP público através do portal do Azure, do PowerShell ou da CLI. Para localizar o endereço IP público do seu gateway VPN usando o portal do Azure, vá para Gateways de rede virtual e selecione o nome do seu gateway.

Dependendo do dispositivo VPN que você tem, você pode ser capaz de baixar um script de configuração de dispositivo VPN. Para mais informações, consulte Transferir os scripts de configuração do dispositivo VPN.

Para obter mais informações sobre configuração, consulte os seguintes links:

  • Para obter informações sobre dispositivos VPN compatíveis, consulte Dispositivos VPN.
  • Antes de configurar seu dispositivo VPN, verifique se há problemas conhecidos de compatibilidade de dispositivo para o dispositivo VPN que você deseja usar.
  • Para obter links para definições de configuração do dispositivo, consulte Dispositivos VPN validados. As ligações para a configuração do dispositivo são fornecidas numa base de melhor esforço. É sempre melhor verificar com o fabricante do dispositivo para obter as mais recentes informações de configuração. A lista mostra as versões que testámos. Se o seu sistema operacional não estiver nessa lista, ainda é possível que a versão seja compatível. Consulte o fabricante do dispositivo para verificar se a versão do SO do seu dispositivo VPN é compatível.
  • Para obter uma visão geral da configuração de dispositivos VPN, consulte Visão geral de configurações de dispositivos VPN de terceiros.
  • Para obter informações sobre a edição de amostras de configuração do dispositivo, consulte Editing samples (Editar amostras).
  • Para requisitos criptográficos, consulte Sobre os requisitos criptográficos e gateways de VPN do Azure.
  • Para obter informações sobre parâmetros IPsec/IKE, consulte Sobre dispositivos VPN e parâmetros IPsec/IKE para conexões de gateway VPN site a site. Este link mostra informações sobre a versão IKE, Grupo Diffie-Hellman, método de autenticação, algoritmos de criptografia e hash, tempo de vida da SA, PFS e DPD, além de outras informações de parâmetros que você precisa para concluir sua configuração.
  • Para obter as etapas de configuração da política IPsec/IKE, consulte Configurar a política IPsec/IKE para conexões VPN site a site ou VNet-to-VNet.
  • Para ligar vários dispositivos VPN baseados em políticas, veja Ligue gateways VPN do Azure a vários dispositivos VPN baseados em políticas no local com o PowerShell.

Configurar uma conexão

Crie uma conexão VPN site a site entre seu gateway de rede virtual e seu dispositivo VPN local. Nesta seção, usamos os seguintes valores de exemplo:

  • Nome do gateway de rede local: Site1
  • Nome da conexão: VNet1toSite1
  • Chave partilhada: neste exemplo, utilizaremos abc123. No entanto, pode utilizar uma chave qualquer, desde que seja compatível com o seu hardware de VPN. O mais importante é que os valores correspondam em ambos os lados da ligação.
  1. No portal, vá para o gateway de rede virtual e abra-o.

  2. Na página do gateway, selecione Ligações.

  3. Na parte superior da página Conexões, selecione + Adicionar para abrir a página Criar conexão.

    Captura de tela que mostra a página Noções básicas.

  4. Na página Criar conexão, na guia Noções básicas, configure os valores para sua conexão:

    • Em Detalhes do projeto, selecione a assinatura e o grupo de recursos onde seus recursos estão localizados.

    • Em Detalhes da instância, defina as seguintes configurações:

      • Tipo de conexão: Selecione Site a site (IPSec).
      • Nome: Atribua um nome à sua ligação.
      • Região: Selecione a região para esta ligação.
  5. Selecione a guia Configurações e configure os seguintes valores:

    Captura de ecrã que mostra a página Definições.

    • Gateway de rede virtual: selecione o gateway de rede virtual na lista suspensa.
    • Gateway de rede local: selecione o gateway de rede local na lista suspensa.
    • Chave compartilhada: o valor aqui deve corresponder ao valor que você está usando para seu dispositivo VPN local local. Se esse campo não aparecer na página do portal ou se você quiser atualizar essa chave posteriormente, poderá fazê-lo assim que o objeto de conexão for criado. Vá para o objeto de conexão que você criou (nome de exemplo: VNet1toSite1) e atualize a chave na página Autenticação .
    • Protocolo IKE: Selecione IKEv2.
    • Usar Endereço IP Privado do Azure: Não selecione.
    • Ativar BGP: Não selecione.
    • FastPath: Não selecione.
    • Política IPsec/IKE: Selecione Padrão.
    • Usar seletor de tráfego baseado em política: selecione Desabilitar.
    • Tempo limite do DPD em segundos: Selecione 45.
    • Modo de conexão: selecione Padrão. Essa configuração é usada para especificar qual gateway pode iniciar a conexão. Para obter mais informações, consulte Configurações do gateway VPN - Modos de conexão.
  6. Para Associações de Regras NAT, deixe Ingress e Egress como 0 selecionado.

  7. Selecione Rever + criar para validar as definições de ligação.

  8. Selecione Criar para criar a ligação.

  9. Após a conclusão da implantação, você poderá exibir a conexão na página Conexões do gateway de rede virtual. O status muda de Desconhecido para Conexão e, em seguida, para Êxito.

Exibir e verificar a conexão VPN

No portal do Azure, você pode exibir o status da conexão de um gateway VPN acessando a conexão. As etapas a seguir mostram uma maneira de acessar sua conexão e verificar.

  1. No menu do portal do Azure, selecione Todos os recursos ou procure e selecione Todos os recursos de qualquer página.
  2. Selecione seu gateway de rede virtual.
  3. No painel do gateway de rede virtual, selecione Conexões. Pode ver o estado de cada ligação.
  4. Selecione o nome da conexão que você deseja verificar para abrir o Essentials. No painel Essentials, você pode exibir mais informações sobre sua conexão. O status é Bem-sucedido e Conectado depois que você faz uma conexão bem-sucedida.

Remover uma ligação

  1. No portal, vá para a página Conexões do gateway VPN.
  2. Clique na ligação que pretende remover. Isso abre a página para a conexão.
  3. Clique em Excluir para remover a conexão.

Próximos passos

Para obter mais informações sobre configurações de gateway VPN site a site, consulte Tutorial: Configurar uma configuração de gateway VPN site a site.